Veri sorumlusu sıfatına haiz olan NeoPets Inc. Tarafından Kişisel Verileri Koruma Kurumu(“Kurum”)’na bildirilen veri ihlal bildirimi Kişisel Verileri Koruma Kurulunun (“Kurul”) 28 Temmuz 2022 tarihli 2022/757 sayılı kararıyla Kurumun internet sitesinden paylaşılmıştır. Paylaşılan bu veri ihlal bildirimde özetle;
- “İhlalin 17.07.2022 tarihinde gerçekleştiği ve 20.07.2022 tespit edildiği,
- Veri sorumlusunun sistemlerinin bir kısmına yönelik siber saldırı gerçekleştiğini tespit ettiği; daha sonra bir forum sitesinde saldırgan tarafından, veri sorumlusuna ait online platformdan yaklaşık 69 milyon mevcut ve eski kullanıcının verilerinin ele geçirildiğine dair paylaşım yapıldığı ve söz konusu paylaşımda kaynak kodlarını ve veri tabanını satmak amacıyla ilan yayımladığı,
- İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim ve işlem güvenliği olduğu ancak bu konuda araştırmaların devam ettiği,
- İhlalden kullanıcılara, abonelere/üyelere ve çocuklara ait verilerinin etkilendiği,
- İhlalden etkilenen kişi ve kayıt sayısının henüz tespit edilemediği ancak ihlale konu olan online platforma kayıtlı 3.5 milyon aktif ve 65 milyon aktif olmayan hesabın bulunduğu
- Veri sorumlusunun; veri sızıntısının ne zaman ve nasıl gerçekleştiği ile ihlalden hangi verilerin etkilendiğini tespit etmek için bir adli bilişim firması ile çalışmaya başladığı” şeklinde bilgilere yer verilmiştir.
Sonuç:
Somut olaydaki veri sorumlusunun faaliyet alanının daha çok çocukları ilgilendiriyor olması bu konuda özel bir inceleme yapmamız sonucunu doğurmaktadır. Her ne 6698 sayılı Kişisel Verileri Koruma Kanununda (“Kanun”) çocuklar için spesifik bir düzenleme içermemesi çocukların kişisel verilerinin Kanun kapsamında olmadığı yanılgısını doğurabilir.
Bu yanılgıya düşmemek adına Kanun’un, Tanımlar başlıklı 3. maddesinde “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” şeklinde düzenlediği tanıma incelemek gerekmektedir. Tanıma göre kimliği belirli veya belirlenebilir kılan gerçek kişilere ilişkin her türlü bilginin kanun kapsamında olduğu sayılmıştır. 4721 sayılı Türk Medeni Kanunu’nun (“MK”) 28. maddesinde “Kişilik, çocuğun sağ olarak tamamıyla doğduğu anda başlar ve ölümle sona erer. Çocuk hak ehliyetini, sağ doğmak koşuluyla, ana rahmine düştüğü andan başlayarak elde eder.” şeklinde düzenlemeler vardır. MK’deki düzenlemeye göre kişi hak ehliyetini sağ doğmak koşuluyla ana rahmine düştüğü anda kazanır. Bu kapsamda bireyin yaşı fark etmeksizin ana rahmine düştüğü ve sağ doğması koşuluyla Anayasa’nın 20/3. maddesinde (“Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir…”) şeklinde ihdas edilen haktan yararlanacaktır. Yapılan açıklamalar uyarınca her ne kadar Kanun’da çocuklara dair spesifik düzenlemeler olmasa da her bireyin ana rahmine düştüğü ve sağ dolmak koşulunu sağladığı andan itibaren Kanun kapsamında olduğu açıktır.
Çocuklara hizmet veren veri sorumluları normalden daha fazla çaba göstererek aydınlatma metinlerini/ politikalarını çocukların anlayacağı şekilde basit ve sade tutmaları gerekmektedirler. Bu kapsamda Kurum’un internet sitesinde çocukların kişisel verisinin korunmasında dikkat edilmesi gereken hususları çocuklar, yetişkinlikler ve ürün ve hizmet geliştirenler tarafından ayrı ayrı açıklamıştır. Bu kapsamda veri sorumlularının çocuklara özel aydınlatma, çocukların verisinin işlenmesini en az seviyede tutma, çocukların verisini korunmasını sağlayacak teknik ve idari tedbirleri daha hassas forma alınması hususlarına azama dikkat ve özeni göstermeleri gerektiği belirtilmiştir.
Veri sorumlusunun karşılaşabileceği her potansiyel siber saldırıyı düşünerek ilgili kişilerden gerektiği ölçüde sınırlı veri almalılardır. Mezkûr veri ihlalindeki veri sorumlusunun bu süreci tasarlamadan aktif olmayan 65 milyon hesabı herhangi bir silme/anonimleştirme/maskeleme işlemine tabi tutmadan kendi veri tabanında tutması normalden daha fazla bir mağduriyetin oluşmasına teşkil etmektedir.
Ezcümle; veri sorumluları ilgili mevzuata uygun şekilde, Kurul’un paylaştığı Kamuoyu duyuruları ve rehberlerde öngörülen teknik ve idari tedbirleri hassas şekilde alarak, periyodik olarak kontrol/güncellemelerini sağlama vasıtasıyla zafiyetleri gidererek yaşanması muhtemel siber saldırılarda oluşabilecek mağduriyeti hem kendileri hem de ilgili kişiler adına en aza indirgeyebileceğinden dolayı bu hususa büyük özen göstermeleri gerekmektedir.
İlgili Veri İhlali: https://www.kvkk.gov.tr/Icerik/7416/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-NeoPets-Inc-
Kurum’un internet sitesinde çocukların kişisel verilerin işlenmesinde dikkat edilmesi gerekenler kamuoyu duyurusu: https://www.kvkk.gov.tr/Icerik/6737/Cocuklarin-Kisisel-Verilerinin-Korunmasi-Bakimindan-Dikkat-Edilmesi-Gerekenler
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.